Technology Stacks - Computer Science for Business Leaders 2016
Sadržaj:
Počevši od verzije 25 programa Google Chrome, proširenja preglednika instalirana izvan mreže drugih aplikacija neće biti omogućena dok korisnici ne daju dozvolu putem dijaloškog okvira na sučelju preglednika.
Na trenutačno razvojni programeri imaju nekoliko opcija za instaliranje proširenja izvan mreže - ne upotrebljavajući sučelje preglednika - u pregledniku Google Chrome za Windows. Jedan od njih uključuje dodavanje posebnih unosa u registru sustava Windows koji priopćavaju Chromeu da je novo proširenje instalirano i trebalo bi biti omogućeno.
"Ova značajka izvorno je namijenjena korisnicima da se uključe u dodavanje korisnog proširenja Chromeu kao dio instalacije druge aplikacije ", rekao je Peter Ludwig, Googleov menadžer proizvoda Chrome proširenja, u petak u postu na blogu. "Nažalost, tu značajku su široko zlostavljane od strane trećih osoba kako bi tiho instalirali proširenja u Chrome bez odgovarajućeg priznanja od korisnika."
Da biste spriječili ovu vrstu zlostavljanja, počevši od Chromea 25, preglednik će automatski onemogućiti sva prethodno instalirana "vanjska" proširenja i predstavit će korisnicima jednokratni dijaloški okvir za odabir onih koje žele ponovo omogućiti.
Osim toga, sva proširenja koji su instalirani pomoću izvanmrežnih metoda bit će onemogućeni prema zadanim postavkama, a korisnik će se pitati želi li ih omogućiti kada se preglednik ponovo pokrene.
Mozilla je implementirala vrlo sličan mehanizam prije godinu dana u Firefoxu kako bi spriječio instaliranje ekstenzija izvan mreže drugih programa omogućeno bez potvrde korisnika.
Sigurnosna pitanja
Mnogi su napadi koristili zlonamjerna proširenja preglednika, uključujući Chromeova proširenja. Na primjer, u svibnju je Wikimedia Foundation objavio upozorenje o proširenju preglednika Google Chrome koji je umetanje skitnica oglasa na stranice Wikipedije.
Google je u srpnju zaustavio dopuštanje postavljanja Chromeovih proširenja s web stranica treće strane, ograničavajući samo online instalacije na proširenja koja se nalaze u službenoj Chrome web-trgovini.
To je otežalo da napadači distribuiraju zlonamjerna proširenja, ali nisu spriječili da zlonamjerni softver instalira zlonamjerna Chrome proširenja na već kompromitirani sustav pomoću izvanmrežnih metoda. Predstojeće izmjene Chromea ciljaju na to.
"Mislim da je to dobar korak u pravom smjeru, što je sigurnije iskustvo pregledavanja", rekao je u ponedjeljak putem e-maila Zoltan Balazs, istraživač informacijske sigurnosti iz Mađarske. Balazs je prethodno stvorio zlonamjerna proširenja za Firefox, Chrome i Safari kako bi pokazao koliko su moćni takvi alati u rukama napadača.
Balazsovo istraživanje, predstavljeno na nekoliko sigurnosnih konferencija ove godine, pokazalo je kako daljinski upravljani skriveni proširenja preglednika mogu mijenjati sadržaj web stranica, snimati zaslone putem web kamere računala, djelovati kao preokrenuti HTTP proxy u unutarnju mrežu, preuzeti, učitati i izvršavati datoteke, koristiti se za distribuiranu lozinku, lomljenje lozinki i još mnogo toga.
Iako će nadolazeće izmjene Chromea 25 učiniti život teže za napadače, dio zlonamjernog softvera mogao bi ipak potencijalno zamijeniti cijelu instalaciju sustava Chrome s backdooredom, rekao je Balazs. Pokazao je na prvo od "10 promjenjivih zakona sigurnosti" koje je objavio Microsoft, a koji glasi: "Ako vas loš tip može uvjeriti da pokrenete njegov program na računalu, to više nije vaše računalo."
U srpnju, kada je Google zabranio instalacije proširenja za Chrome s web stranica treće strane, tvrtka je također rekla da će početi analizirati sva proširenja navedena u Chrome web trgovini za zlonamjerno ponašanje i uklonit će one koje vrijeđaju.
Čuvajte se prevare
Međutim, zlonamjerna proširenja više puta su otkrivena u Chrome web-trgovini, što sugerira da se mehanizam Googleovog proširenja za skeniranje i pregled može zaobići. Istraživači iz Barracuda Networksa 30. kolovoza upozoravali su da su Facebook prevaranti uspjeli prevesti više od 90.000 korisnika na instalaciju nekoliko zlonamjernih Chromeovih proširenja hostiranih u Chrome web-trgovini prije nego što su Google uklonili proširenja.
Upozorenje 20. prosinca od grupe Facecrooks koji prati prijetnje na Facebooku, upozorio je na muljaža koja je korisnicima prevarila instaliranje širenja Chrome proširenja tvrdeći da mijenja shemu boja njihova Facebook profila.
Prema Balazsu, činjenica da zlonamjerni programeri proširenja uspijevaju zaobići Chrome web Sustavi za otkrivanje zlonamjernog softvera trgovine nisu tako iznenađujući.
Bljesak JavaScript koda ili skrivanje zlonamjernih funkcija unutar drugih zlonamjernih funkcija ili stvaranje zlonamjernih proširenja i dodavanje zlonamjernih funkcija u ažuriranje vrlo je jednostavno, rekao je Balazs. "To je ista igra mačka i miša koju vidimo između programera za zlonamjerne programe i AV industrije."
"Trenutno je Google sigurnosni standard kada je u pitanju sigurnost proširenja preglednika", rekao je Balazs. Međutim, jedan veliki korak naprijed za Google bio bi onemogućiti svu staru NPAPI (Netscape Plugin Application Programming Interface) arhitekturu dodataka - on je sada onemogućen u Chromeu za Metro 8 i Chromebook - te promovira sigurnu i sabirniju arhitekturu narodnog klijenta, rekao je.
Google jača OS kontrole OS-a za Chrome
IT administratori sada imaju veću kontrolu nad radnicima koji upotrebljavaju uređaje s operativnim sustavom Chrome koji obuhvaćaju područja poput pregledavanja weba, prihvaćanja kolačića i upravljanje dodatkom.
Upravljajte proširenjima Chromea upraviteljem proširenja jednim klikom
Upravitelj proširenja jednim klikom za Chrome omogućuje vam sakrivanje ikona proširenja u traci izbornika preglednika i promjena lokacija ikona višestrukih proširenja.
Najnoviji pregled sustava Windows 10 jača integraciju telefonskog računala
Microsoft je u Windows 10 Insider Preview Build 16251 uveo novu značajku dijeljenja veza između vašeg telefona i računala.